TweetBuzz - 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat Zone

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat Zone

Share on Tumblr

Check

538
tweets つぶやく

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat Zone

これは、OAuth の state パラメータを使って XSRF 対策をしていても防げません。つまり、OAuth 2.0 の Client は、そのClient (サイト)にログインしたすべての人になりすまして、任意の他のOAuth 対応サイトにログインできるのです。これは、OAuth の問題ではありません。OAuth は Authorization Delegation Protocol = 認可をデリゲーションするためのプロトコルであって、ユーザ認証のためのプロトコルではないからです。はっきり言って、 16週間前

URL:	http://www.sakimura.org/2012/02/1487/
	『詩・音楽・旅・ITの徒然草 - .Nat Zone』の他のエントリー
ブログ:	『www.sakimura.org』のエントリーをブログに貼り付ける
	http://tweetbuzz.jp/tb/2160523130
カテゴリー:	IT
キーワード:	セキュリティー OAuth ホール認証
購読:	Follow @2bkm

関連エントリー

www.sakimura.org 最近人気のエントリー

「ニューオフィス革命」知的資産創造(1995)

@oritako @_nat 「ニューオフィス革命」知的資産創造(1995) http://t.co/HIjWlri0

私も数学の論理と集合で憲法や法律をプログラム化できるんじゃないかと思う。そうすれば司法の人はいらなくなる？(^_^;) 数理法学 An Axiomatic Approach to Law : .Nat Zone

私も数学の論理と集合で憲法や法律をプログラム化できるんじゃないかと思う。そうすれば司法の人はいらなくなる？(^_^;) 数理法学 An Axiomatic Approach to Law : .Nat Zone http://t.co/mq13q3Sf @_natさんから

Why “privacy” confuses people : =nat

Why "privacy" confuses people http://t.co/xVzUARGl via @_nat_en

プライバシーって何？ : .Nat Zone

プライバシーって何？ : .Nat Zone http://t.co/eqOCalIj via @_nat

Comments on Wang-Chen-Wang paper on OpenID Implementation Vulnerability : =nat

Comments on Wang-Chen-Wang paper on #openid implementation vulnerability. http://t.co/9RrmE6Mo via @_nat_en

コメント

この話題についてつぶやく

関連商品

話題のサイトを検索

IT・新着エントリー

詩・音楽・旅・ITの徒然草新着